新型冠狀病毒的大流行和網絡犯罪活動的激增已經引起了公司董事會對安全問題的興趣。

數據泄露、勒索軟件攻擊以及對全球疫情相關風險的擔憂，提高了企業董事會對網絡安全的興趣。安全領導人表示，董事會已經開始越來越關注安全問題，對網絡問題也有了更深刻的理解，并開始就風險暴露和管理方法提出了更復雜的問題。

[[378100]]

盡管許多人仍將安全視為是業務經營的一項成本，但越來越多的董事會成員已經開始認為安全性是業務的基礎了。隨著許多公司在疫情爆發后加速了數字化轉型計劃，董事會希望了解在勞動力分布更加分散的環境中，安全性將如何能夠支持這些努力并支持業務需求。

“董事會對技術和安全的理解已經變得更加精明了，”麥當勞的首席信息官Timothy Youngblood說，“他們在一定程度上受到了證交會的驅動，他們期望董事會具備一定水平的技術專長。”。他們還得到了美國企業董事協會和其他機構在網絡安全方面的大量指導。

因此，董事會現在向安全負責人提出的問題也發生了改變。根據Youngblood以及其他人的說法，以下是當今人們最關心的六個問題。

1. 網絡問責

風險管理公司VigiTrust的首席執行官、新書《董事會中的網絡大象》的作者Mathieu Gorge表示，首席信息官需要更好地準備回答董事會中關于網絡問責的問題。網絡問責是指一個組織證明自己有良好的確保網絡安全的能力，如果出現問題，他們可以將一切追溯到一個獨特的事件、獨特的人或獨特的群體，Gorge說。

CISO需要準備好解釋什么是網絡問責，為什么組織應該關心，該如何開始網絡問責之旅，以及它包括了什么。“這只是證明我們能夠應對網絡攻擊，并且我們有一個計劃，還是不止于此?它需要涉及到誰，需要花費多少，或者說我們真的需要它嗎?”Gorge說。

在闡述應對措施時，安全領導者需要記住，董事會真正想聽到的是對整個業務生態系統的問責。這意味著，除了他們自己的組織之外，安全領導者還需要能夠描述他們將如何讓加盟商、子公司、業務合作伙伴、供應商以及其他的第三方對實施安全最佳實踐負責。

這一生態系統可以是國際性的，也可以由復雜而且往往相互沖突的條例和標準來管理，所有這些都需要一定程度的問責制。CISO需要準備好回答他們可能在做什么，或者計劃做什么，以證明這種問責制。“你是否能夠通過繪制一個生態系統圖來展示它，是否能夠使用一個向你顯示正在發生什么的控件來展示它，是否能夠表明你已經分類了組織內各個利益相關者對數據的機密訪問權限?”

2. 新冠病毒疫情期間及以后的安全狀況

商業支付服務公司Fleetcor的CISO James Edgar表示，全球的新冠病毒疫情促使人們轉向了遠程工作，這也使得人們會更加關注董事會已經在網絡安全方面提出的問題。

從IT的角度和整體業務的角度來看，當前的重點是向遠程工作的轉變將如何影響業務的運營方式。這些問題與組織是否能夠將大部分員工轉移到遠程模式并且仍然能夠支持業務有關。

Edgar說，他從董事會接收的問題包括與業務連續性有關的問題，以及新冠病毒疫情來襲時對已經在進行的主要IT項目的潛在影響。“我們能否兌現我們所認為的至關重要的大事?我們能夠保持當前的安全性和合規性水平嗎?我們的基準是什么?當我們走出新冠病毒疫情時，我們將達到這些標準嗎?”

隨著事態的穩定，焦點已經轉移到本組織在后新冠肺炎的世界里保持其安全態勢的能力，以及為實現這一目標將采取的投資措施。Edgar說，對他有效的一種策略是，每季度向董事會提供有關威脅狀況和安全領域大趨勢的最新信息。“我們會定期向他們提供有關我們所看到的情況以及我們在勒索軟件、端點保護、網絡監控方面所做工作的最新信息。”

3. 安全策略

Youngblood說，與幾年前相比，董事會對網絡安全的思考已經變得更具戰略性。許多董事將網絡安全視為其信托責任的一部分，也是其應有的謹慎和忠誠的義務。

“你今天所面臨的問題是，你該如何處理不在你控制范圍內的事情--就像是第三方一樣，”Youngblood說。如今有這么多的外包業務，董事們想聽聽企業網絡安全投資是如何受到保護的。他們希望了解組織從中獲得了什么，以及是否有任何可能影響業務目標的東西。

Youngblood表示，董事會喜歡聽取組織對網絡事件的準備情況，以及在威脅成為主要問題之前是否有檢測威脅的控制措施。他們想知道網絡安全是否是以這樣一種方式與數字化轉型聯系在一起的，即安全是建立在每一個步驟中的，而不是固定在最后的。值得注意的是，董事會也越來越想知道該組織可能沒有進行的任何可能對網絡風險產生負面影響的投資，他說。

回答這樣的問題可能很棘手，這就是為什么讓CISO、CPO和其他利益相關者在董事會上發揮作用是一個好主意。在與董事會討論戰略安全問題時，也要確保你的演講不會讓CISO感到意外，他說。要了解董事會的風險偏好，并確保能夠將網絡風險納入企業風險管理的更廣泛背景當中。

“我推薦的方法是從能夠談論的業務和業務成果開始，”Youngblood說。“我不會用一種更有策略性的方式進行談話。”

4. 對照行業最佳實踐進行基準測試

董事會對其組織的安全狀況與同行相比有多好(或多差)非常感興趣，云服務提供商Netenrich的CISO Brandon Hoffman表示。一個驅動因素可能是，在違規情況下，公司的安全措施會經常與行業最佳實踐或同行所采用的實踐進行比較。

“最高層對了解與行業相關的風險有濃厚的興趣，”Hoffman說。這種比較本身往往無助于營造一個更安全、風險更低的環境。即便如此，許多董事會還是希望這樣做，因為在業務環境中，有效度量安全性的方法很少。

“CISO犯的最大錯誤之一是沒有將與安全相關的風險與業務風險聯系起來，”Hoffman說。“相反，報告會圍繞著合規框架和技術度量展開，”這些充其量只是日常行動的指標。“不幸的是，這確實無助于高管或董事會了解其對業務的影響。”

5. 抵御網絡攻擊的能力

雖然董事會在戰略、企業風險管理層面對網絡安全越來越感興趣，但他們仍然會深入參與與組織防御和應對網絡攻擊的能力有關的事務。“他們想知道你是如何利用人員、流程和技術來盡可能地降低風險，同時保持生產力和安全性之間的適當平衡的，”CISO顧問和首席安全科學家Joseph Carson說。

董事會可能提出的問題，以及CISO需要準備解釋的問題，包括關鍵業務服務面臨勒索軟件等威脅的風險，以及為降低勒索軟件或其他攻擊對業務服務的影響所采取的措施。“哪種威脅最有可能影響到業務，有哪些財務風險和降低風險的選項，”他表示。“我們的網絡風險差距有多大，又比如降低風險的成本與完全不作為的成本?”

準備好回答關于事故響應計劃的問題，以及你是否已經測試了對業務最有可能的潛在威脅。“我們要做什么來細分業務的各個部分并控制訪問權限?”Carson說。“我們超出了哪些法規和合規要求，達到了哪些要求，或未達到哪些要求，以及它們是如何與業務網絡風險保持一致的?”

6. 持續合規性

你需要準備好談論持續的合規性和持續的安全性，Gorge說。董事會成員往往會問，在網絡安全方面的投資能為公司贏得多少時間。“問題是，‘好吧，我們要這樣做一次，這會讓我們在幾年里保持良好，對嗎?或者我們需要持續這樣做嗎?’”他說。

這就是為什么CISO和其他安全領導者需要引入這樣一種理念的原因，即安全性和合規性是一個旅程，而不是目的地，Gorge說。他們需要證明，隨著業務的發展，安全的需求也在不斷變化。重要的是，安全領導人應該強調需要在資金、時間和精力方面持續對網絡安全進行投資。解釋在三到五年的時間里，這些投資將如何降低成本、提高安全性、提高客戶信心以及會帶來哪些其他切實的好處。

在網絡問責和持續合規性的雙重背景下，CISO所面臨的最大挑戰是展示網絡安全將如何成為一種業務推動因素，而不僅僅是成本，Gorge說。“與其說‘如果我們不這樣做，就可能會發生安全事故’，不如展示你將如何利用現有的模型，以一種實際上能夠增加價值的方式，將網絡安全納入到資產負債表當中。”